Como hackers usam as fake news para distribuir malware

As chamadas fake news são uma distribuição deliberada de mentiras com o objetivo de influenciar a opinião pública ou dividir as pessoas. O tema tem chamado também a atenção dos profissionais de segurança da informação não só porque é difícil de identificá-las e bloqueá-las, como também ajuda a disseminar malware.

“As falsas fábricas de notícias se envolveram em operações para influenciar muitos cidadãos, seja para fins de marketing, decisões de compra, instabilidade política ou apenas como uma direção errada para uma intenção real”, diz Joseph Carson, cientista em segurança da empresa de gerenciamento de senhas Thycotic. “As mídias sociais e os serviços online foram as principais vítimas, pois os usuários agora estão sendo alimentados com fluxos contínuos de informações, sem maneira de determinar a autenticidade da fonte ou se é confiável”, completa.

Quando as notícias falsas fornecem malware

Outro problema é que a fake news muitas vezes tem um propósito secundário. Scott Nelson, vice-presidente da empresa de treinamento de segurança, a SecureSet, diz que as notícias falsas são o último vetor de ataque de engenharia social e atividades de hacking. Semelhante a um ataque de phishing, muitas variáveis ​​estão em jogo. Nem todos os links questionáveis ​​no Facebook são considerados falsos, e ferramentas de detecção automatizadas não são capazes de identificar cada história suspeita ou falsa.

“A introdução de malwares incorporados em imagens, links e downloads em fake news, e-mail ou site de mídia social deve se tornar cada vez mais preocupante para as organizações”, diz Nelson. “Essas táticas não são mais o único espaço das organizações criminosas ou de spammers, mas agora são usadas pelos estados nacionais para atacar ou disseminar propaganda, sistemas de compromisso, causar dano físico ou realizar espionagem”.

Nelson diz que as companhias, de forma geral, não têm consciência de quanto a fake news se comporta como malware (e muitas vezes carrega a mesma carga útil para prejudicar os usuários). É por isso que os hackers se aproveitam dessa abordagem de “olhar para o outro lado” para classificar a notícia falsa. “As organizações deveriam estar preocupadas com o fato de que os funcionários desavisados ​​são presos dessas novas campanhas personalizadas [que espalham] suas ideias políticas ou fofocas”, diz ele.

O que fazer sobre a ameaça das fakes news

“CIOs e CISOs devem se preocupar com notícias falsas no sentido de que tais casos normalmente indicam a presença de malware, e não o contrário”, diz Karimi. “Se os usuários em suas comunicações se referenciam a outros sites com cargas úteis de malware, isso é claramente uma preocupação significativa para todos os profissionais de segurança”.

Isabelle Dumont, vice-presidente da empresa de segurança Lacework, diz que as empresas talvez não precisem se preocupar com a poluição geral causada por notícias falsas – é uma tarefa impossível erradicá-la -, mas podem começar a controlar suas infraestruturas de nuvem, procurando por sequestros e outros ataques que distribuem o malware associado às falsas notícias.

O Twitter geralmente é o principal método para espalhar as notícias falsas (e, portanto, o malware associado). Karimi diz que os hackers usam um método chamado DoubleSwitch, onde eles assumem uma conta, propagam os falsos links de notícias e fazem com que outras contas espalhem os links ainda mais – tudo isso leva a mais infecções de malware. Parar a entrega de fake news através do Twitter (ou outras mídias sociais) é tedioso e difícil, isso porque há muitas contas falsas no Twitter.

Carson diz que a principal preocupação no momento é que as empresas estão, na maior parte, ignorando o problema da propagação de notícias falsas. Algumas empresas estão tentando bloquear a atividade usando algoritmos e alguma intervenção humana, mas não é o suficiente.

Embora o uso de notícias falsas para fornecer malware através de redes sociais seja novo, os métodos para identificar e bloquear o malware são semelhantes aos que você faria para ataques de phishing: reconhecer e reportar incidentes, permitir que a equipe de resposta de segurança investigue e resolva quaisquer problemas de rede que permitiu o malware.

Carson observa que a resposta deve ser imediata e completa, porque a janela de oportunidade para encerrar o malware é pequena.

“Muitas empresas têm políticas de TI corporativas que definem o uso aceitável, políticas de senha, regras e, em alguns casos, procedimentos de resposta a incidentes”, diz Carson. “Todo funcionário deve estar familiarizado com esses procedimentos porque as respostas rápidas tendem a reduzir problemas ou danos causados ​​pelo incidente”.